指紋很容易被竊取，用它當密碼合適嗎？

《大西洋月刊》近日發表文章，稱指紋識別、面部識別等身份驗證方式仍然容易被黑客攻破。如果黑客學會了如何模仿人類身體的獨特特徵，科學家可能就會改用腦電波和基因組的方式來驗證用戶身份了。以下為原文內容：

如何向一台計算機證明你的身份？

你可以使用密碼，這是你和計算機之間共享的秘密。但密碼容易成為網路釣魚、黑客入侵等不法行為的獵物，有人要冒充你似乎並不太困難。

如今，你常常需要使用比密碼更難以模仿的東西來驗證身份——例如用指紋登錄智能手機、筆記本電腦和銀行帳戶。像其他生物特徵數據一樣，你的指紋是獨一無二的，所以當你的拇指按上識別模塊時，計算機就會知道你是誰。

你的拇指不太可能像密碼那樣「泄露」，但這並不意味著用它來驗證身份就可以高枕無憂。 2014年，一些黑客入侵了美國政府部門的計算機系統，獲取了2200萬美國人的敏感個人資料，其中包括560萬人的指紋。

這些數據似乎並沒有出現在黑市上，但是如果它被賣掉或泄漏出去，黑客要用它來對付受害者也會很容易。去年，密歇根州立大學的一些研究人員使用噴墨印表機和特殊紙張，將高質量的指紋掃描圖片製作成了3D指紋，足以騙過智能手機的指紋讀取器——而他們使用的設備價格還不到500美元。

根本問題：無法重置

另外一些網路攻擊者則使用了其他方式來收集人們的指紋。如果你在拍攝照片的時候比劃某些手勢，然後在社交媒體上分享這些照片，就可能會面臨風險——東京國立信息學研究所的研究人員可以從九英尺外拍攝的手勢照片中重建用戶的指紋。

面部數據也容易受到黑客的攻擊。喬治城大學的一項研究發現，警方的面部識別資料庫涵蓋了全美國至少有50%的人，有些是駕駛執照，有些是登記照。但黑客並不一定需要入侵某個資料庫來收集臉部照片——照片可以從Facebook或Google Images上獲取，甚至可以直接在街上拍攝。

而且黑客利用這些數據也不困難：去年，北卡羅來納大學的研究人員使用一個Facebook用戶在該平台上發布的照片構建了一個頭像3D模型，創造出一個栩栩如生的動畫。在他們測試的五個面部識別工具中，有四個都被這個動畫騙過。

生物識別的根本問題在於它們不能重置。如果你的一個指紋被泄露了，那你還有另外幾個手指的指紋當備份。但如果十個指紋全部被泄露了（一些執法資料庫就包含了所有十個手指的圖像），你是沒有辦法重置它的。視網膜掃描識別以及臉部識別也是這樣。密碼泄露了還可以修改，但這些東西是無法改變的，唯一的辦法可能就是割傷手指，或者去做整容手術。

「如果邊境巡邏隊、你的銀行和你的手機都在收集你的指紋數據，然後有一個黑客知道怎麼利用這些信息，你基本上就無法再用指紋來驗證身份了，」加州大學伯克利分校長期網路安全中心的總監庫伯（Betsy Cooper）說。

此外，指紋和臉型作為生物特徵識別最廣泛使用的兩種形式，隨著時間的推移，它們都保持著相當穩定的特性。密歇根州生物識別研究小組開展了一項自動面部識別系統研究，調查了1.8萬名罪犯的近15萬張大頭照，第一張照片和最後一張照片之間相隔至少5年。研究人員發現，當把罪犯的照片與10年前拍攝的照片相匹配時，現成的軟體包仍可達到98%的準確率。甚至有一個研究領域，是在研究面部軟體如何在整形手術前後識別出同一張臉來。

密歇根州州立實驗室也發現，隨著時間的推移，指紋圖譜也會保持很高的穩定性。這項研究檢查了五年時間中密歇根州警察局逮捕的1.5萬人的指紋資料庫。結果表明，對於12年前留下的指紋，匹配起來精度也接近100%。在另一項實驗中，該團隊發現，兒童的指紋大約在1歲的時候就開始變得穩定，至少在一年後仍然可以識別出來。（並非所有生物特徵都會保持不變：懷孕可以改變女性視網膜的血管形態，讓視網膜掃描儀無法識別。）

可變的生物識別技術

顯然，指紋、虹膜和臉部形狀識別都存在著安全隱患，為了解決這個問題，一些人開始研究可變的生物識別技術。

2013年，伯克利分校的研究人員提出了一個名為「passthoughts」（通關想法）的系統。這項技術把三個因素結合了起來：你知道的東西（一個想法）、你是誰（你的大腦模式）和你擁有的東西（用於測量腦電波的EEG感測器）。要用它來驗證身份，你需要在佩戴感應器的時候想你的密鑰。密鑰可以是一首歌、一個短語，或者一個心理形象。想法本身是不會被傳輸的——傳輸的只是你的大腦在想它的時候所產生的電信號的數學表示。

就算別人知道你想的是什麼，他們也不能模仿你的「passthoughts」，因為每個人對同一個東西的想法是不同的。黑客可能會通過使用網路釣魚方案來攻擊這種系統：欺騙你進行思考來獲取你的腦波輸出，然後重播它來進行身份驗證。但你可以改變「passthoughts」，對它進行重置。

有了利用腦電波或遺傳學的可變生物識別技術，即使在你的指紋已經完全泄露，你也有辦法來證明自己的身份。